Google patcht type confusion-bug in Chrome waarvoor exploit bestond

Google heeft een zeroday in Chrome gerepareerd. Een type confusion-bug in de Javascript-engine had al een exploit, al geeft Google weinig details. Het is de zevende keer in 2022 dat er een zeroday in Chrome wordt gepatcht.

Google noemt de zeroday in een blogpost, maar het bedrijf geeft er weinig details over. Het is de enige patch die voor nu wordt doorgevoerd. De fix zit in de Stable-versie van 107.0.5304.87/.88 van Chrome.

Google geeft weinig details over de kwetsbaarheid. Het bedrijf wacht daar meestal mee tot de update door veel gebruikers is doorgevoerd. De bug is geclassificeerd als High, en heeft de code CVE-2022-3723 gekregen. Het gaat om een type confusion-kwetsbaarheid in de V8-JavaScript-engine van Chrome. In dat geval controleert de engine niet goed welk type object wordt ingeladen. Dat kan in ernstige gevallen mogelijk maken dat een aanvaller code kan uitvoeren, maar de impact is in dit geval niet bekend.

Google zegt dat een exploit voor de bug bestaat, maar het bedrijf geeft daar zoals gewoonlijk geen details over. Ook is niet duidelijk of de bug actief werd uitgebuit via die exploit. Het is de zevende keer in 2022 dat Google een zeroday in Chrome repareert. De kwetsbaarheid werd aangedragen door drie externe beveiligingsonderzoekers, Jan Vojtěšek, Milánek en Przemek Gmerek van Avast.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 29-10-2022 09:31 17

29-10-2022 • 09:31

17

Lees meer

Google repareert voor zesde keer in 2024 zeroday in Chrome
Google repareert voor zesde keer in 2024 zeroday in Chrome Nieuws van 17 mei 2024
Google brengt patch uit voor actief misbruikte kwetsbaarheid in Chrome
Google brengt patch uit voor actief misbruikte kwetsbaarheid in Chrome Nieuws van 29 november 2023
Google repareert derde zeroday van 2023 in Chromium
Google repareert derde zeroday van 2023 in Chromium Nieuws van 6 juni 2023
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd Nieuws van 19 april 2023
Google Chrome voegt prestatiemodi toe om geheugen en accu te sparen
Google Chrome voegt prestatiemodi toe om geheugen en accu te sparen Nieuws van 19 februari 2023
Valve liet JavaScript-kwetsbaarheid 15 maanden lang in Dota 2 zitten
Valve liet JavaScript-kwetsbaarheid 15 maanden lang in Dota 2 zitten Nieuws van 10 februari 2023
Google brengt Android-functie om incognitovensters te vergrendelen officieel uit
Google brengt Android-functie om incognitovensters te vergrendelen officieel uit Nieuws van 27 januari 2023
Google brengt OSV-tool uit om opensourcesoftware op kwetsbaarheden te scannen
Google brengt OSV-tool uit om opensourcesoftware op kwetsbaarheden te scannen Nieuws van 15 december 2022
Onderzoeker: Android-fabrikanten wachten te lang met patchen van kwetsbaarheden
Onderzoeker: Android-fabrikanten wachten te lang met patchen van kwetsbaarheden Nieuws van 24 november 2022
Google trekt op 21 maart 2023 stekker uit Google Street View-app
Google trekt op 21 maart 2023 stekker uit Google Street View-app Nieuws van 2 november 2022
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit Nieuws van 17 augustus 2022
Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component
Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component Nieuws van 5 juli 2022
Google ontdekte in 2021 recordaantal van 58 zerodays
Google ontdekte in 2021 recordaantal van 58 zerodays Nieuws van 20 april 2022
Chrome krijgt fix voor ernstige kwetsbaarheid die actief misbruikt wordt
Chrome krijgt fix voor ernstige kwetsbaarheid die actief misbruikt wordt Nieuws van 28 maart 2022
Google repareert actief misbruikte kwetsbaarheid in Chrome
Google repareert actief misbruikte kwetsbaarheid in Chrome Nieuws van 15 februari 2022
Google dicht zeroday-lek in Chrome dat actief misbruikt wordt
Google dicht zeroday-lek in Chrome dat actief misbruikt wordt Nieuws van 16 juli 2021
Meer producten en artikelen
Beveiliging en antivirus Browsers Google Chrome

Reacties (17)

-Moderatie-faq
17
17
11
2
0
3
Wijzig sortering
rvt1 29 oktober 2022 09:38
Wellicht had het handig geweest als er in het artikel staat wat nu een type confusion bug is?
estej @rvt129 oktober 2022 09:55
Met 'type' bedoelen ze verschillende types variabelen (integers, strings, floats, array van variabelen, maar ook classes, etc.)
De 'confusion' komt van het verwarren van de types: ergens in de code is het bijvoorbeeld mogelijk om een variabele van een bepaald type aan te bieden, maar de code neemt aan dat het een ander type variabele is.

Dit kan bijvoorbeeld leiden tot buffer over flows (als de variabele die het denkt dat het is veel kleiner is, dan de daadwerkelijke variabele.)
Hier kan een aanvaller dan weer exploits mee maken.

Dit is natuurlijk een versimpeling, maar ik hoop dat het een beetje duidelijker is geworden

[Reactie gewijzigd door estej op 23 juli 2024 14:29]

THETCR @estej29 oktober 2022 14:18
Classes zijn geen types. JavaScript heeft een sugar syntax met de keyword, maar het is een Prototype based language. Het zijn gewoon objects. Net zoals arrays.

Types bepalen hoe iets in het geheugen wordt opgeslagen en hoe de CPU er mee omgaat. De abstractie in talen biedt vervolgens een set van standaard methods aan per type om de data te kunnen muteren.
Pompidompi @rvt129 oktober 2022 10:24
Hier wordt wel helder uitgelegd hoe een dergelijke type vergissing kan ontstaan: https://googleprojectzero...ome-infinity-bug.html?m=1
rvt1 @Pompidompi29 oktober 2022 11:03
Een verkorte versie van jouw link had dus in het artikel kunnen staan…
Aegir81 @rvt129 oktober 2022 09:42
https://hackingportal.git...usion/type_confusion.html
According to Common Weakness Enumeration (CWE) The program allocates or initializes a resource such as a pointer, object, or variable using one type, but it later accesses that resource using a type that is incompatible with the original type. When the program accesses the resource using an incompatible type, this could trigger logical errors because the resource does not have expected properties. In languages without memory safety, such as C and C++, type confusion can lead to out-of-bounds memory access.
Als ik het goed begrijp, dan komt het omdat het programma in de war geraakt over het type data dat aangeboden wordt. Die verwarring kan dan uitgebuit worden.

Maar dat wordt ook in het artikel genoemd:
In dat geval controleert de engine niet goed welk type object wordt ingeladen. Dat kan in ernstige gevallen mogelijk maken dat een aanvaller code kan uitvoeren, maar de impact is in dit geval niet bekend.

[Reactie gewijzigd door Aegir81 op 23 juli 2024 14:29]

BernardV 29 oktober 2022 10:13
Is dit een bug in Chrome of Chromium?
Als het de laatste is zijn er meer browsers getroffen.
Blokker_1999
@BernardV29 oktober 2022 10:35
De bug zit in de javacript engine, ik neem aan dat Chromium dezelfde engine gebruikt. Alternatieve browsers kunnen evenwel hun eigen engine geimplementeerd hebben.
djwice @BernardV29 oktober 2022 11:14
Niet alleen browsers, denk bijvoorbeeld ook aan al je NodeJS containers. @TijsZonderH

Naast je eigen containers moeten ook SaaS platforms zoals Google Functions, Microsoft Azure Functions en AWS Lambda worden geupdate (doet de provider zelf).
Dat gaat om miljarden instances.

https://nodejs.dev/en/learn/the-v8-javascript-engine/

[Reactie gewijzigd door djwice op 23 juli 2024 14:29]

Silent7 29 oktober 2022 10:10
Interessant, ik wilde even kijken welke Chrome versie hier draait, hij begon gelijk te updaten.
Had ie dat ook gedaan als ik de versie niet gecheckt had bij help -> over Chrome?
Blokker_1999
@Silent729 oktober 2022 10:34
Ja, als je Chrome geinstalleerd hebt (en dus niet als portable app gebruikt), dan installeert deze ook een service welke periodiek gaat kijken voor updates, zelfs als Chrome niet draait. Dit in tegenstelling tot Firefox dat zichzelf alleen kan bijwerken wanneer Firefox gestart is.
Aardedraadje @Blokker_199929 oktober 2022 12:02
Dit in tegenstelling tot Firefox dat zichzelf alleen kan bijwerken wanneer Firefox gestart is.
Firefox heeft sinds v90 ook gewoon automatische updates in de achtergrond.
GoBieN-Be @Blokker_199929 oktober 2022 21:07
De Mozilla maintenance service bestaat al lang hoor.
m.z 29 oktober 2022 09:44
Dit zijn de details die ik terugvind:
Google Chrome could allow a remote attacker to execute arbitrary code on the system, caused by a type confusion in V8. By persuading a victim to visit a specially crafted Web site, a remote attacker could exploit this vulnerability to execute arbitrary code or cause a denial of service condition on the system.
hoi_roy 31 oktober 2022 00:23
Fijn dat je gefixt is. Browser die ik regelmatig gebruik. Maar helaas niet altijd even veilig..
familyman @hoi_roy31 oktober 2022 05:44
Rare opmerking.

Er wordt software gemaakt, en men ontdekt manieren om die software te laten crashen. Die wordt opgelost.

Het is niet heel anders als de uitvinding van autogordels, in mijn ogen. Ervoor was het zo veilig als we konden, erna nog veiliger.

De metric moet niet zijn of deze bugs bestaan, maar hoe lang het duurt voor ze worden opgelost. Software kan nu eenmaal op nog veel meer manieren fout gaan, dan auto's.
hoi_roy @familyman31 oktober 2022 17:56
Dat er adequaat op gereageerd wordt lijkt mij een goed uitgangspunt. Een wereld zonder fouten bestaat immers niet.
Maar desondanks hoop ik dat ik mijn sentiment over het geheel "helaas niet altijd even veilig", wat blijkt uit het verhaal, ook mag delen.
Ik hoop niet dat ik daarmee iemand voor de borst stoot. En mocht dat toch zo zijn, was niet de insteek, trek t je niet aan.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq